信息系统管理规范参考.doc

PAGE PAGE 30 广东省建设银行信息系统管理参考 目 录 TOC \o 1-1 \h \z \u HYPERLINK \l _Toc164770137 目录 PAGEREF _Toc164770137 \h 2 HYPERLINK \l _Toc164770138 计算机系统安全管理控制程序 PAGEREF _Toc164770138 \h 3 HYPERLINK \l _Toc164770139 计算机系统运行管理控制程序 PAGEREF _Toc164770139 \h 13 HYPERLINK \l _Toc164770140 计算机系统用户及口令管理作业指导 PAGEREF _Toc164770140 \h 17 HYPERLINK \l _Toc164770141 计算机系统配置变更管理作业指导 PAGEREF _Toc164770141 \h 22 HYPERLINK \l _Toc164770142 计算机系统崩溃应急预案 PAGEREF _Toc164770142 \h 27 TOC \o 1-3 \h \z \u 计算机系统安全管理控制程序 计算机系统安全管理控制活动主要分为六个阶段，包括：安全技术方案的设计和评审、技术开发阶段的安全控制和管理、项目测试的安全控制、项目验收的安全控制、项目投产的安全控制和后续运行维护的安全控制。 主要风险是： 计算机系统开发时未同步进行安全建设、安全技术方案不满足业务安全和相关安全规范（标准）要求、安全建设过程不规范等，导致系统未能通过验收投产。 有安全隐患的计算机系统投产上线、运行系统不能得到有效及时维护，导致计算机系统不能稳定 、安全、高效运行。 针对主要风险的关键控制环节是： 计算机系统设计阶段：保证安全技术方案必须通过专家组评审。 在计算机系统投产阶段：保证需上线的计算机系统已通过功能、性能和安全测试，并按《计算机系统投产移交作业指导书》（IXX7302-03）要求进行投产上线。 本流程的输入为项目安全需求和需求分析，流程的供方为项目组；流程的输出为安全技术方案评审报告、项目安全测试报告，安全管理员指南，流程的顾客为系统维护部门和省分行信息中心。具体流程、控制要求见下面的流程图及操作和控制要求。 阶段 流程描述和控制要求 控制要点 6.1设计安全 项目组根据业务安全需求，编写计算机系统安全需求和安全需求分析，作为项目需求及需求分析的有机组成部分，按《信息项目管理控制程序》（PXX7301）中关于需求管理的要求管理。 安全需求应涵盖业务处理各个流程的安全技术控制措施需求、计算机系统以及与其相关的在线系统安全运行过程中的安全要求，并满足相关法律、法规及规章、技术规范和标准等约束条件。 安全需求应包括网络系统、操作系统和数据库、信息数据、业务流程控制、应用服务持续性等方面的安全要求。 计算机系统的安全需求及其分析要经过项目组内部充分讨论和论证，技术人员和业务人员对安全需求及其分析的理解要达成一致。 安全需求及其分析一经确定，不得任意修改，确需修改的，必须通过项目组内部讨论和论证，并对修改原因等变更情况进行记录。 安全需求分析应通过专家小组或专家委员会的评审。 项目组负责根据安全需求及其分析设计《计算机系统安全技术方案》（见记录一： RXX7304-00-01）。 计算机系统安全技术方案要满足所有的安全需求，符合国家有关部门以及金融行业安全技术规范和标准的要求，满足我行安全技术规范和标准的要求。 安全技术方案应包括网络安全设计、操作系统和数据库安全支持、应用软件安全设计等部分。网络安全设计要符合《中国建设银行计算机网络安全技术规范（试行）》要求，操作系统和数据库安全支持、应用软件安全设计等要符合《中国建设银行计算机应用系统安全技术规范1.0版》要求。 安全技术方案要通过专家小组或专家委员会的评审，重大、特大计算机应用系统安全技术方案以及需要承受高风险、应具有较高安全强度的计算机应用系统安全技术方案必须通过行内外专家组成的专家委员会的评审，形成《计算机系统安全方案评审报告》（见记录二：RXX7304-00-02）。 风险点1：在计算机系统开发时未考虑安全问题、安全技术方案不满足业务安全需求，不符合国家、行业及我行安全技术规范和标准的要求。 风险类型：操作风险 风险级别：中等风险 控制目标：安全技术方满足业务安全需求，符合相关规范和标准要求。 控制措施： 1、在计算机系统开发过程中，同步进行安全建设。 2、安全技术方案通过专家组评审。 控制岗位：专家组 6.2 开发安全 (1) 开发过程中遵照执行《计算机系统项目开发管理控制程序》。 1）开发人员的安全管理 要加强开发人员的职业道德教育，提高开发人员的安全防范和保